Apple ha rilasciato da qualche ora macOS High Sierra, il più recente aggiornamento del sistema operativo per computer e portatili Mac.

Al di là delle novità a bordo dell’update c’è anche un grosso problema di sicurezza, individuato da Patrick Wardle, ex hacker della NSA e attualmente esperto della compagnia Synack.

Come spiega il ragazzo, a causa di una falla interna del software, tutto il contenuto dell’app Portachiavi è soggetto a un furto da parte di terzi.

Cos’è il Portachiavi

Chi usa un Mac conosce l’utilità di un programma, Portachiavi, che memorizza ogni singola password associata a un nome utente di un servizio o un sito web visitato con il computer. In questo modo, se ci si dimentica la stringa per una certa piattaforma, basta entrare nella sezione apposita, digitare la chiave del proprio account Apple, e visualizzare ciò che si desidera.

Cosa succede

Quello che ha scoperto Wardle è che a un aggressore esterno non serve conoscere la password principale del computer per rubare le informazioni del Portachiavi. Tramite un’applicazione non certificata, scaricata da internet, chiunque può intrufolarsi nell’archivio e dare un occhio a parole segrete e relativi siti collegati. In questo modo può connettersi a portali di e-commerce, home banking, client di email e social network altrui senza essere scoperto.

Nuovo ma vulnerabile

L’ex della NSA ha testato l’exploit (cioè il metodo che sfrutta la falla) sul recente High Sierra, confermando l’esistenza del bug, così come sulle versioni precedenti di macOS. La dimostrazione è in un breve video postato su Twitter:

on High Sierra (unsigned) apps can programmatically dump & exfil keychain (w/ your plaintext passwords) vid: https://t.co/36M2TcLUAn#smhpic.twitter.com/pqtpjZsSnq

— patrick wardle (@patrickwardle) 25 settembre 2017

I modi per utilizzare keychainStealer, il software dimostrativo che lui stesso ha creato sono almeno un paio. Il primo riguarda la possibilità di installare l’applicazione fisicamente sul dispositivo, quando il proprietario non è nelle vicinanze. In un paio di minuti si riesce a ottenere l’elenco testuale del database del portachiavi, da salvare in un file di testo.

Il secondo prevede la modalità remota, ovvero l’invito, farlocco, ad aprire il file camuffandolo con qualcos’altro, ad esempio un allegato di email.

Anche nelle app dello Store?

Ancora peggio, si potrebbe inserire il virus in un gioco legittimo e pubblicato su App Store qualora Cupertino non procedesse con il rilascio di una patch correttiva. In realtà Wardle, già a inizio settembre, aveva riportato il problema ad Apple, senza ricevere risposta e, soprattutto, accorgendosi che il buco è ancora presente oggi, al momento di rilascio di High Sierra.

“Il marketing della compagnia ha fatto un gran lavoro, nel tempo, convincendo le persone della sicurezza di macOS. Credo sia un comportamento irresponsabile perché crea l’illusione di un ambiente protetto, mettendo a rischio gli utenti” – ha sentenziato il giovane.

Apple: la risposta

Questa la risposta della compagnia: “macOS è sviluppato per essere sicuro sin dal primo avvio. Il software avvisa sempre sul rischio di installare applicazioni che non provengono dai negozi ufficiali, come nel caso individuato da Wardle. Per questo invitiamo i clienti a scaricare solo app da sorgenti certificate, tra cui il Mac App Store, e a porre la massima attenzione agli avvisi mostrati dal sistema operativo”.

Insomma la falla c’è (e potrebbero uscirne delle altre, come su sistemi rivali) e Cupertino lo sa bene ma, oltre a tappare le buche man mano che si scoprono, lo sforzo è anche quello di educare le persone su cosa è conveniente fare e cosa no quando si è davanti a un computer. Del resto la migliore difesa è la prevenzione.

Per saperne di più

• Apple Pay come attivarlo su iPhone (e Watch)

• Vita digitale: perché siamo vulnerabili agli hacker

• Gli otto hacker più famosi della storia